Datalek GGD GHOR
29 januari 2021 – Nederland
Uit een onderzoek van RTL nieuws is gebleken dat er op een grote schaal gehandeld is in gestolen gegeven uit de computersystemen van de GGD. Het is niet duidelijk hoeveel persoonsgegevens illegaal verhandeld zijn. Medewerkers hebben aangegeven al maandenlang vrije toegang gehad te hebben tot privégegevens van miljoenen Nederlanders. Testuitslagen werden zelfs onder medewerkers via WhatsApp uitgewisseld. Ook al hebben interne medewerkers dit onder de aandacht gebracht zijn dit soort signalen door de GGD niet serieus genomen.
Welke gegevens zijn buitgemaakt: BSN, NAW-gegevens en testuitslagen.
De verstrekte autorisatie aan alle medewerkers is een bewust keuze gegeven. Hierbij kregen een grote hoeveelheid medewerkers toegang tot alle gegevens in het systeem. De noodzakelijkheid van deze toegang is niet goed genoeg getoetst. De motivatie achter de verstrekte autorisatie is volgens de GGD dat beperktere toegang de slagkracht van de operatie geringer ging maken. Daarnaast kunnen er dan minder snel afspraken gepland worden voor een test of uitslagen doorgegeven. “Als niemand bij de gegevens kan, kun je ook niet snel genoeg werken.”
Het beperken van rechten wil echter niet zeggen dat niemand meer bij de gegevens kan, het is afhankelijk van de noodzakelijkheid. Deze noodzakelijkheid dient getoetst te worden en goed gedocumenteerd te worden waarom een bepaalde keuze is gemaakt m.b.t. het geven van autorisatie.
Genomen acties vanuit de GGD:
De GGD geeft aan “zo snel mogelijk” te stoppen met het gebruik van de software. Ze zijn op dit moment met man en macht aan het werken aan de overstap naar een ander, veel veiliger portaal. Daarnaast is nu ingezet op het monitoren van welke medewerkers gebruik maken van welke gegevens. Dat gebeurde tot nu toe alleen “steekproefsgewijs”.
Gevolg voor de betrokkene:
Volgens de fraudehelpdesk zijn de gestolen gegevens al tientallen keren gebruikt door criminelen. Zo kunnen ze gericht phishing aanvallen op de personen waar de gegevens van gestolen zijn maar ook vrienden en familie zijn niet veilig! Maar ook identiteitsfraude sluiten wij niet uit.
Volgens de overheid (https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/basisregistraties-en-stelselafspraken/beheervoorziening-bsn/het-bsn-in-relatie-tot-de-datadiefstal-bij-de-ggd/) is de kans op identiteitsfraude echter relatief klein. De stelling die de overheid daarmee inneemt is dat met alleen BSN een zogenaamd “informatieloos” nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. AP deelt deze stelling niet en geeft aan dat onzorgvuldig gebruik van het BSN privacyrisico’s met zich mee brengt zoals misbruik van persoonsgegevens en identiteitsfraude .
Maar het BSN wel aangemerkt in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) Artikel 46 als een gevoelig gegeven welke strengere maatregelen verdient als een “gewone” persoonsgegeven. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk bepaald is. Dit geldt bijvoorbeeld voor zorgverleners en het onderwijs.
GGD GHOR heeft zelf al een waarschuwing gepubliceerd op haar website waarbij ze iedereen waarschuwen:
1. dat GGD nooit aan onaangekondigd aan de deur komt
2. De GGD benadert u niet zomaar voor het maken van een afspraak
3. de GGD vraagt op geen enkele manier om financiële gegevens
4. Wees voorzichtig met het plaatsen van persoonlijke sociale media